信息安全風險管控建設(shè)體系概述

門曉東

摘 要 風險管控能力是信息安全建設(shè)的核心競爭力，企業(yè)的發(fā)展要根據(jù)公司的戰(zhàn)略和信息化發(fā)展的趨勢，建設(shè)符合信息安全目標的信息安全方針，改變信息安全意識，由被動的信息安全向主動轉(zhuǎn)變，由分散的信息安全防護向體系防護轉(zhuǎn)變，由傳統(tǒng)的靜態(tài)信息安全防護向動態(tài)安全防護理念轉(zhuǎn)變，同時從人、策略等多角度出發(fā)，加強風險管控能力體系建設(shè)，綜合提高企業(yè)核心競爭力。

關(guān)鍵詞 信息安全;風險管控能力;安全防護

風險管控能力是信息安全建設(shè)的核心競爭力。中冶集團財務(wù)有限公司（以下簡稱“中冶財務(wù)公司”）作為中央企業(yè)非銀行金融機構(gòu)，它的信息安全建設(shè)，一方面必須符合監(jiān)管機構(gòu)相關(guān)標準和監(jiān)管要求，另一方面，必須立足集團戰(zhàn)略目標，并保障公司各種金融服務(wù)過程中的資金安全。為了實現(xiàn)以風險管控能力為核心的信息安全建設(shè)目標，中冶財務(wù)公司的信息安全建設(shè)在深入分析公司信息化現(xiàn)狀基礎(chǔ)上，根據(jù)公司發(fā)展戰(zhàn)略、信息化發(fā)展趨勢，建立了符合信息安全建設(shè)目標的信息安全方針、信息安全總目標，構(gòu)建了以信息安全風險管控能力即信息安全管理能力、感知、防護和應(yīng)急恢復(fù)能力為核心的建設(shè)思路和技術(shù)支撐平臺。

1實現(xiàn)信息安全風險管控建設(shè)理念的“三個轉(zhuǎn)變”

當今信息安全形勢復(fù)雜多變，信息安全威脅不斷推陳出新，信息安全風險事件頻發(fā)。為了更有效地防范信息安全風險，實現(xiàn)風險管控能力的指導(dǎo)作用，中冶財務(wù)公司實現(xiàn)了信息安全防護的“三個轉(zhuǎn)變”：由被動的信息安全防護向主動防護轉(zhuǎn)變，由分散的信息安全防護向體系防護轉(zhuǎn)變，由傳統(tǒng)的靜態(tài)信息安全防護向動態(tài)安全防護理念轉(zhuǎn)變。

“動態(tài)防護”思路是中冶財務(wù)公司信息安全建設(shè)的核心理念，即結(jié)合設(shè)計和制定好的信息安全策略、信息安全防護體系，通過全體參與者的協(xié)同，從而實現(xiàn)防范風險、降低風險的信息安全風險管控目標。感知風險、防護風險、快速響應(yīng)、風險集中管控是信息安全建設(shè)的核心[1]。

2確定信息安全風險管控能力建設(shè)的核心因素

2.1 人是信息安全風險管控能力的頂層設(shè)計

中冶財務(wù)公司形成了以公司領(lǐng)導(dǎo)、信息部門、人力資源部門為頂層設(shè)計的風險管控安全組織，通過全員共同參與，構(gòu)建安全組織架構(gòu)，實現(xiàn)人員安全管理的同時，也減少了人員帶來的信息安全風險。

2.2 策略建設(shè)形成了信息安全的內(nèi)部控制系統(tǒng)

中冶財務(wù)公司建立了風險管控能力體系建設(shè)的信息安全方針、策略、規(guī)范、標準和制度。這些策略指導(dǎo)人員開展信息安全活動，對人員行為起到了約束的行為規(guī)范，也是各類管理和技術(shù)措施建設(shè)的主要依據(jù)。這些策略的體系化的設(shè)計和制定，有力地對中冶財務(wù)公司的信息安全需求進行了梳理、設(shè)計和流程固化，最終形成公司信息安全管理的內(nèi)部控制系統(tǒng)。

2.3 信息安全的管理活動

依據(jù)策略的體系化作用，指導(dǎo)了企業(yè)日常信息安全的管理活動，這些活動主要涉及三個方面：信息系統(tǒng)的設(shè)計、信息安全規(guī)劃設(shè)計;信息信息系統(tǒng)和信息安全機制的建設(shè)實施;信息系統(tǒng)的安全運維、信息安全事件的監(jiān)視和處理、信息安全事故的處置;信息安全管理活動是對信息安全策略中的管理措施的直接落實。當然，管理活動不僅需要人員的管理活動，同時必須依靠技術(shù)手段進行輔助，綜合利用構(gòu)建的信息安全技術(shù)措施，實現(xiàn)信息安全風險的管控。

2.4 信息安全的保護對象

信息安全風險管控，就是管理保護對象面臨的威脅、脆弱性等安全屬性。這些保護對象，物理環(huán)境、網(wǎng)絡(luò)和主機、應(yīng)用系統(tǒng)、數(shù)據(jù)，通過構(gòu)建的安全防護、感知和響應(yīng)恢復(fù)措施，結(jié)合保護對象自身安全措施的落實和能力提升，保障其處于持續(xù)安全狀態(tài)。

3信息安全風險管控體系建設(shè)基本過程

通過信息安全策略的指導(dǎo)和信息安全技術(shù)的支撐下，中冶財務(wù)公司完成各類信息安全業(yè)務(wù)，包括管理活動、監(jiān)督審計、檢查、評估、檢測、合規(guī)管理等方面實現(xiàn)全方位的風險管控。

3.1 信息安全戰(zhàn)略規(guī)劃的頂層設(shè)計

中冶財務(wù)公司根據(jù)企業(yè)發(fā)展規(guī)劃形成了信息化發(fā)展規(guī)劃，制定了信息安全的總體目標和發(fā)展戰(zhàn)略，確保信息安全發(fā)展符合企業(yè)的整體發(fā)展。

3.2 制定信息安全管控策略

根據(jù)信息化發(fā)展現(xiàn)狀，制定實現(xiàn)和滿足信息安全目標和戰(zhàn)略的信息安全總體策略，即，信息安全風險管控策略。

3.3 明確信息安全建設(shè)的分類和內(nèi)容

根據(jù)信息安全總體策略，規(guī)劃設(shè)計需要哪些信息安全管理工作支撐信息安全風險管控的落實和落地，明確信息安全工作的具體分類和信息安全工作的具體工作內(nèi)容，其中包括設(shè)計信息安全組織結(jié)構(gòu)、人員配備、職責和責任。

3.4 確定人員安全管理的各類機制和要求

依據(jù)設(shè)計的信息安全工作及其內(nèi)容，結(jié)合中冶財務(wù)公司現(xiàn)有人員管理情況，完善人員安全管理的各類機制和要求，并根據(jù)信息安全組織結(jié)構(gòu)、人員配備、職責和責任，制定人員安全管理制度、規(guī)范，或形成企業(yè)標準。

3.5 信息安全風險的感知、防護和應(yīng)急恢復(fù)能力的建設(shè)

設(shè)計符合中冶財務(wù)公司的信息安全技術(shù)體系框架。在框架中明確未來一定時期內(nèi)將采用的各類安全機制，并對安全機制進行基本分類，形成對威脅、脆弱性和風險能夠快速感知的技術(shù)機制群，對脆弱性進行加固、對威脅和風險進行抵御防護的技術(shù)機制群，對安全事件快速響應(yīng)和應(yīng)急處置的技術(shù)機制群。

設(shè)計多層縱深防御的信息安全防護體系和能力。建立多層次防護體系，識別不同類型的威脅和風險進行防御。當信息安全事件發(fā)生時，應(yīng)急恢復(fù)能力能夠?qū)⑿畔⑾到y(tǒng)從威脅和風險中快速解救或恢復(fù)。并通過信息安全技術(shù)快速響應(yīng)安全事件、及時中斷攻擊行為，獲取攻擊證據(jù)，及時恢復(fù)應(yīng)用系統(tǒng)正常運行。

4提升風險管控能力的活動

提高信息安全管控能力和水平需要有兩個特殊管理活動的參與：

4.1 持續(xù)開展信息安全監(jiān)督審計

持續(xù)開展的監(jiān)督審計、檢查評估、檢測合規(guī)管理，進行面向基礎(chǔ)設(shè)施、重要信息系統(tǒng)、安全管理活動各類指標和內(nèi)容的檢測、檢查和合規(guī)審計。

4.2 動態(tài)開展信息安全風險評價

動態(tài)地對信息安全狀態(tài)及風險情況進行評價分析活動，實現(xiàn)信息安全威脅、風險、脆弱性的實時監(jiān)測和分析，并能給出某時刻的信息安全狀態(tài)。

通過對風險管控提升了信息安全能力即管理能力、感知能力、防護能力及應(yīng)急響應(yīng)恢復(fù)能力，為中冶財務(wù)公司信息安全治理能力提供了有力支撐。

風險管控能力是衡量信息安全建設(shè)的核心競爭力的重要標志，也是防范中冶財務(wù)公司信息安全系統(tǒng)性風險，保障公司資金運營安全，促進公司金融業(yè)務(wù)健康可持續(xù)發(fā)展的法寶。

參考文獻

[1] 網(wǎng)絡(luò)環(huán)境下的信息安全[J].通訊世界，2019，（5）：130-131.